孔松:首先感谢大家还能坚持到现在,刚刚几位专家都从云服务商或者厂商的角度,讲了一些安全方面的技术问题。我主要是从信通院这样一个第三方的角度,梳理对于我国云计算领域的风险管理趋势,以及我们做的一些工作。

孔松-1

随着近一二十年我国云计算的发展,规模日益扩大,而云计算厂商的技术其实也已经发展的比较成熟了,整个风险和安全的问题其实是成为了厂商更加关注的一个焦点,也是影响厂商发展的一个比较关键的因素。最近这一段时间,其实也可以说云计算行业一波未平,一波又起,不管国际国内的厂商都发生了多多少少的风险事故,其中包括数据丢失、网络中断、运维故障等等。这里我也是归纳了几个认为比较重要的在云计算的平台运营过程中会涉及到的一些风险,主要包括人为误操作、删除一些数据等等,以及软件风险,主要是因为云计算会涉及到很多开源软件,这些软件可能本身就有一些固有的软件漏洞,同时由于一些企业在使用开源过程中不是很关注开源软件的核心和底层问题,也会有一些未知风险隐藏在其中。对于运营风险,一个是由于人员的问题,第二个是即使现在像Ddos比较火,但其实自动化也会引入其他一些问题。最后一个是网络风险,这个相比其他三个可能更加不可控,原因主要是一些像一些云服务商,即使是自建数据中心,但也是涉及到向一些第三方运营商购买服务,同时还有很多云服务商现在是租赁其他厂商的数据中心,所以对于网络来说这个责任可能很难去界定。

云在发展过程中,一直都是既便捷,风险和优势并存的。这些年我们的技术飞速发展,随着云计算的发展,IAAS变成主流,而最近像一些容器又很火,为云计算注入了新鲜血液。同时近两年有一些很火的技术,随着技术的发展,我们的系统架构从原来的单体变成了现在的分布式架构,整个业务逻辑变的更加简单便捷,部署开发整个流程都是低成本、快速的。因此在我们这个架构带来优势的同时,也让我们的风险变的更加复杂。

我们归纳出来大概四类,包括技术风险、运营风险、合规风险、开源风险。对于技术风险来说,大概我画了这样一个框图,蓝色部分是传统的一些系统也需要考虑到的一些安全问题,而偏红色的这部分是云计算新技术引入的一些新的安全风险。比如说对于这些蓝色的物理安全、主机安全、网络安全、数据安全等等,其实刚刚各位专家也说的比较多了,随着人工智能、云计算、大数据这些新技术的发展,其实在传统安全风险过程中,我们也会引入一些新的安全手段来去防止这些安全问题的发生。比如刚刚上一位专家也说到一些智能巡检机器人,可以避免一些物理机房建设过程中出现的很多问题。

对于云计算来说,可能传统的就是比较关注像虚拟主机、虚拟设备资源池、网络的安全,随着引入容器,容器在比虚拟化更快速辩解的同时,也会带来一些新的问题,比如说逃逸、容器间的通信等等。这两年其实微服务也是比较火的一个技术,像各个行业,一些传统行业都纷纷把自己的架构拆成微服务的形式,在微服务的过程中主要是涉及到一些像分布式事物的一致性,服务之间的依赖和管理,以及服务到底如何拆分才能够更高效的利用服务的特点,这些都是我们需要考虑的风险和安全隐患。

针对上述的安全风险,其实各国和各个专业的人士也在研究相关的一些安全技术,从Gartner的云安全技术成熟曲线可以看出,仍需5年左右成熟的云安全技术,这块需要相应的安全人员加深它的研究和探索。第二部分主要是运营风险,这块主要分成三部分,一部分是云平台外部的风险,第二部分是云平台本身的风险,第二部分是云平台主体风险。对于第一部分和第三部分来说,对于云服务商来说是更加不可控的,比如外部风险中像自然环境风险,一旦发生地震火灾等自然灾害,可能对数据中心是毁灭性的打击,对云服务商对有多活、容灾的要求。第三方厂商的服务能力也影响着我的云服务商的服务能力,同时对于网络攻击来说主要是因为我们的云其实物理链接消失,也会导致一些黑客更容易攻入这个环境。

对于业务主体来说,其实大的我们归结为三类,第一类是商业风险,我们在构建云平台过程,虽然大家都在说云是相比于传统的那些建机房的方式省钱省力,但是对于搭建一个云平台初期来说,其实它的投资成本还是非常大的,包括建机房、买一些物理设备、聘用相关人员,以及掌握相关的技术等。这些都是需要很大成本的,我们云最后建设的成效是否达到预期,以及是否能够营收,这些都是需要考虑的问题。

第二部分是法律法规的风险,这在后面我们也会作为合规风险进一步说。对于操作风险来说,这也是基于之前信通院的调查。在各个厂商觉得云平台最容易发生的一些风险是什么,主要是大家都认为操作风险是很重要的一个环节,包括一个是运维人员的误操作,另外一个是内部员工的一些恶意破坏,这是在运营过程中可能涉及到的风险。

对于第三部分来说合规风险,随着信息技术的发展,各大运营商最近也都是在积极扩展海外业务,海外像欧盟、新加坡、日本这些国家都是很注重网络数据和信息的保护的,如果云服务商想要出海,就必须要满足当地的法律,因此监管要求对于云服务商出海来说是非常重要的。我们举了几个认为比较重要的例子,对于新加坡来说,我们也是经过了一定的调研,各大云服务商出海新加坡算是一个必经之地,如果在新加坡当地设立一个节点,势必就会产生一些新加坡和国内数据跨境传输的情况,新加坡个人数据保护法也是明确,属于涉及到数据跨境传输数据接收方应该是有不低于PDPA的数据保护水平,因此这对于服务商来说也提出了比较高的要求。

第二个美国,美国跟欧洲这些其实是完全不一样的风格,主要是采用一些松散立法的方式,不像欧盟和新加坡立法那么严格,但是它的数据保护是采取长臂管辖的原则,所以这是一个非常大的风险。

我们院也在GDPR方面做了不少工作和调研,在之前的数据保护法律法规中,主要是涉及到一些对数据控制者的要求,而GDPR也是首次对数据处理者进行了严格要求。同时由于GDPR适用场景对于云服务商来说太多了,大概有几十条是云服务商都需要符合的。GDPR来说,即使你只是在国内有这样一些节点,即使你的客户是中国的,但比如说你的客户的客户是欧盟的,它也是要求符合的,所以符合GDPR的场景对于云服务商来少特别特别多,所以这也是一个非常大的合规风险。

对于我国来说,这两年也在加强网络和信息安全的法律建设,网络安全法已经发布了,同样的数据保护法国家也正在制定当中。对于网络安全法、云计算发展三年行动计划其实都是比较着重的强调了网络安全、数据安全这些。所以云服务商在日常的运营中,是要符合这种基础的法律法规的要求的。同时其实行业云两年也是一个比较火的点,像政务云的发展可能比较成熟,而金融云这两年也是正在建设过程中,像很多云服务商都是服务于政府机构、银行保险等等。为了服务相应的行业客户,我们势必会在搭建云平台的时候,既要满足相应的行业特性的要求,也要帮助我们的客户去满足这样的合规要求。因此这种一个是通用的法律法规,一个是行业特性的合规,都是云服务商在运营过程中需要考虑的这样一些问题。

第四个部分就是面临的开源风险,这其实也是我们今年3月份刚刚发布的中国云计算开源发展调查报告,我们调研了全国各行各业的大概800家企业,在调查报告中显示只有3.3%的企业是没有计划应用开源软件的,也就是说我们90%多的企业都已经使用或者马上就要使用开源软件。因此可以看出,只要谈到云计算就离不开开源,那么在开源过程中也是涉及到各种各样的开源软件,开源软件其实也涉及到很多风险,比如说违约风险,使用它是不是我的软件也需要开源等等,是有很多风险需要考虑进来的。

针对上述风险应该怎么做?刚刚各位专家提到的可能都是云服务商自己的角度来说,我们这个是从第三方角度来说我们信通院对于云计算能做一些什么?我们主要采取了三个事前、事中、事后。事前,我们会进行相应的评估,来去挖掘企业存在的一些风险隐患,帮助企业去解决掉这些风险。对于事中来说,我们也是会建立这样一个平台,去积极发现企业运营过程中出现的风险,让它及时的能够解决掉。对于事后来说,因为采取再万全的措施也是会发生风险的,最后我们是采取保险的措施,来减少客户和云服务商的损失,实现责任分担。

事前我们有几项评估,第一个是对云服务商进行风险评估,主要包括四个方面,技术风险、运营风险、人员风险、合规风险。对于云平台本身来说,我们既是考量它的外部风险,也考量它云平台的风险,外部风险比较重要的一个是物理基础设施的建设,另外一个是我们的网络,因为这也是涉及到第三方的。对于云平台来说,主要包括开发测试环节的一些风险,运营的风险等等。同时对于管理流程方面,主要是管理体系,可能是包括一些开发运维测试的管理体系,同时应该也具备像事件管理、问题管理、配置管理、发布管理这些比较典型的管理能力。对于企业来说,一个是对于企业自身的审计,这些审计包括方方面面的,同时也要进行相应合规的问题。对于我们的云上客户,你是否能够知道他的合规情况,以及对于他违规的封堵、截堵的要求,这是基于前面的风险评估。

紧接着对于云计算是需要有一定的沟通监测能力,风险告知主要是指在云平台运营过程中,如果预测到平台会有什么问题,要及时告知到用户。责任划分,要知道哪些责任是用户的,哪些责任是云服务商上的。最后是如果发现了风险点,是否采取了一定的措施进行风险处置。

这是我们整个风险评估的框架流程。这个框架流程我们今年也是在中国保险协会成功立项,用于指导对云平台进行有效的风险管理。上年上半年我们评了12家云服务商,上面是已经通过的企业,经过我们的评估也是得出了一些结论。像右边标出来的一些,其实就是云服务商在评估过程中一些比较薄弱的点,主要可能是涉及到一些像机房的建设,这是物理层面的,包括机房、电力、空调、线路保护这种,其实这块一个是因为很多云服务商现在还是采取购买第三方数据中心这种运营的情况,所以可能对数据中心具体的建设掌握程度不够,因此这其实就是一个潜在的风险。第二个是像一些大的集团,可能使用的是集团建设的数据中心,因此对数据中心的情况了解的也确实是不够,所以这其实是我觉得在云服务商在运营过程中比较关注的点。

除了风险管理,我们还进行了运营方面的风险评估,这是我们上半年发布的一系列DevOps的标准,其中主要是DevOps的风险评估,风险评估项目主要是下面这些,这个标准我们之前也是评估了几家。

同时还有第三项,包括开源的评估,像前面的开源软件是我们之前已经梳理过的,使用社区版开源软件使用之前有哪些检查项,都有哪些检查指标,这面是我们后续回去做的工作。

事中来说,我们也是有两个机制,最右边这个网络风险与保险创新实验室,刚才高总也讲了,信通院和中国保险协会联合成立了这样一个实验室,这个实验室发起了一个云计算风险保护伞的行动。这个保护伞下面的成员,主要包括一些云计算厂商、云计算用户还有一些安全厂商,这些成员都是我们风险管理共享平台的一个构建者,这个风险管理共享平台也是信通院组织,对于某一些厂商发现了一些什么隐藏的风险,会通过这个风险平台来共享告诉大家,或者是发生了一些什么风险,这些企业已经率先把风险解决了,也会在这个平台上共享他们的解决方案。我们通过搭建这样一个保护伞,在这个平台上共享这些风险和解决信息,来提高云厂商的安全防护水平和减少他们的重复工作量,这是我们事中的保护伞行动。对于在这个平台上积极分享的企业地我们也有一定的投保情况的优惠,所以也是欢迎各个企业加入到我们这个平台中,一个是可以获取其他厂商的一些信息,也是可以共享自己的一些经验。

对于事后来说,刚才人保的高总对产品也讲的很细,我大概说一下信通院在云保险过程中是处于什么样的角色?可以投保的用户主要是像云服务商、软件厂商等等,他们选择向保险企业投保,保险企业对他们承保。在投保承过程中,信通院作为一个中立的第三方,将会对相应的厂商进行风险评估,衡量这个的厂商的风险管理水平。你的风险管理能力越强,你的保险系数就越低,你所需要缴纳的保费也就越低。如果发生事故怎么办?信通院作为一个定损机构,用户上报出现了故障,我们会派专门的人员进行定损定责,输出一个报告给到保险企业,保险企业根据我们的定损定责报告来决定是否对用户进行一定的赔偿,以及赔偿金额也是我们输出的,这是云保险的情况。

对于整个定损的流程大概是这样子,如果发生故障,用户先是可以向我们申报这个故障,我们开启定损流程,同时相关的运维日志等等,我们去分析这个责任到底是云客户的还是云服务商的,或者是一些第三方承包商的。最后确定了这个定责之后,如果是云服务商的责任,我们可能会根据像比如说一些采购合同,或者是在我们整个事故中涉及到的服务中断的时间、中断的次数,受影响的虚机等等这些,来去定量,确定这次受损应该要赔偿多少金额。确定了定责定量之后,我们会输出这样一个报告给到保险公司,让保险公司根据我们的报告对投保的客户进行理赔。

这就是大概我今天介绍到这,如果大家对以上感兴趣,都可以会后再联系我,谢谢!

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2023-10-31 14:47:04
市场情报 从营到赢,世纪互联蓝云合作伙伴云赢峰会2023圆满召开
具体来看,这些增值价值主要体现在两个方面,一是商务模式创新,另一方面,是服务能力开放。 <详情>
2023-08-29 08:49:05
运营商 中国联通发布《可信算力交易服务白皮书》
8月18日,中国联通举办“大模型时代下的AI算力新基建”分论坛,与合作伙伴一起,共同探讨中国算力产业发展趋势和未来。 <详情>
2023-07-20 17:25:54
云资讯 2023可信云大会·云原生技术与实践分论坛开幕在即
历经多年发展,云原生技术生态已趋于完善,行业接纳度攀升,发展进入深水期。 <详情>
2023-07-20 17:18:00
云资讯 2023可信云大会“一云多芯应用创新”分论坛先睹为快!
一云多芯技术的应用推动了IT产业链的创新发展,激发了新的商机和合作机会。 <详情>
2023-07-20 15:08:31
云资讯 2023可信云大会 “云安全和零信任”分论坛抢“鲜”看!
可信云大会“云安全与零信任”分论坛将在7月26日下午举办 <详情>